सवाल मुझे फ़ायरवॉल सर्वर क्यों चाहिए?


कृपया ध्यान दें: मुझे इसे लौ युद्ध में बनाने में कोई दिलचस्पी नहीं है! मैं समझता हूं कि बहुत से लोगों ने इस विषय के बारे में दृढ़ विश्वास रखते हैं, किसी भी छोटे हिस्से में नहीं, क्योंकि उन्होंने अपने फ़ायरवॉलिंग समाधानों में बहुत प्रयास किए हैं, और इसलिए भी कि उन्हें अपनी आवश्यकता में विश्वास करने के लिए प्रेरित किया गया है।

हालांकि, मैं उन लोगों के उत्तरों की तलाश में हूं जो हैं विशेषज्ञों सुरक्षा में मेरा मानना ​​है कि यह एक महत्वपूर्ण सवाल है, और उत्तर सिर्फ खुद और कंपनी के लिए काम करने से अधिक लाभान्वित होगा। मैं किसी भी फ़ायरवॉलिंग के बिना समझौता किए बिना कई वर्षों तक हमारे सर्वर नेटवर्क चला रहा हूं। सुरक्षा समझौता में से कोई भी हम समझौता नहीं करते हैं है फ़ायरवॉल से रोका जा सकता था।

मुझे लगता है कि मैं यहां बहुत लंबे समय से काम कर रहा हूं, क्योंकि जब मैं "सर्वर" कहता हूं, तो मेरा हमेशा मतलब है "सार्वजनिक लोगों को दी जाने वाली सेवाएं", न कि "गुप्त आंतरिक बिलिंग डेटाबेस"। ऐसे में, हम किसी भी नियम होगा किसी भी फ़ायरवॉल में पूरे इंटरनेट तक पहुंच की अनुमति होगी। साथ ही, हमारे सार्वजनिक-पहुंच सर्वर सभी हमारे कार्यालय से अलग समर्पित डेटासेंटर में हैं।

कोई और एक समान सवाल पूछा, और मेरा जवाब नकारात्मक संख्या में मतदान किया गया था। इससे मुझे विश्वास होता है कि या तो लोग इसे वोट दे रहे थे, वास्तव में मेरे जवाब को समझ में नहीं आया, या मैं वर्तमान में जो कर रहा हूं वह करने के लिए पर्याप्त सुरक्षा को समझ में नहीं आता।

सर्वर सुरक्षा के लिए यह मेरा दृष्टिकोण है:

  1. मेरे ऑपरेटिंग सिस्टम का पालन करें सुरक्षा दिशानिर्देश  से पहले अपने सर्वर को इंटरनेट से कनेक्ट करना।

  2. एसएसएच (और अन्य प्रबंधन सेवाओं) तक पहुंच को प्रतिबंधित करने के लिए टीसीपी रैपर का उपयोग करें, जो कि आईपी पते की एक छोटी संख्या में है।

  3. इस सर्वर की स्थिति की निगरानी करें Munin। और अपनी डिफ़ॉल्ट कॉन्फ़िगरेशन में मुनिन-नोड के अंतर्निहित गंभीर सुरक्षा समस्याओं को ठीक करें।

  4. मेरा नया सर्वर एनएमएपी (इंटरनेट पर अपने सर्वर को जोड़ने से पहले)। अगर मैं इस सर्वर को फ़ायरवॉल करना चाहता था, तो यह बंदरगाहों का सटीक सेट होना चाहिए आने वाले कनेक्शनों तक सीमित होना चाहिए।

  5. सर्वर के कमरे में सर्वर स्थापित करें और इसे एक सार्वजनिक आईपी पता दें।

  6. सिस्टम को अपने ऑपरेटिंग सिस्टम की सुरक्षा अद्यतन सुविधा का उपयोग करके सुरक्षित रखें।

मेरा दर्शन (और प्रश्न का आधार) यह है कि मजबूत मेजबान-आधारित सुरक्षा फ़ायरवॉल की आवश्यकता को हटा देती है। समग्र सुरक्षा दर्शन का कहना है कि यदि आपके पास फ़ायरवॉल है तो भी मजबूत होस्ट-आधारित सुरक्षा की आवश्यकता है (देखें सुरक्षा दिशानिर्देश)। इसका कारण यह है कि फ़ायरवॉल जो सर्वर पर सार्वजनिक सेवाओं को आगे बढ़ाता है, हमलावर को उतना ही फ़ायरवॉल जितना सक्षम बनाता है। यह सेवा स्वयं ही कमजोर है, और पूरे इंटरनेट पर उस सेवा की पेशकश करने के बाद से इसके संचालन की आवश्यकता है, इसके लिए पहुंच प्रतिबंधित करना बिंदु नहीं है।

अगर वहाँ कर रहे हैं सर्वर पर उपलब्ध बंदरगाहों को पूरे इंटरनेट द्वारा एक्सेस करने की आवश्यकता नहीं है, तो उस सॉफ़्टवेयर को चरण 1 में बंद करने की आवश्यकता है, और चरण 4 द्वारा सत्यापित किया गया था। क्या एक हमलावर सफलतापूर्वक कमजोर सॉफ़्टवेयर के माध्यम से सर्वर में तोड़ना चाहिए और एक खोलना चाहिए खुद को पोर्ट करें, हमलावर इसके बजाय एक यादृच्छिक बंदरगाह पर आउटबाउंड कनेक्शन बनाकर आसानी से किसी भी फ़ायरवॉल को हराने के लिए (और कर सकता है) कर सकता है। सुरक्षा का मुद्दा सफल हमले के बाद खुद को बचाने के लिए नहीं है - यह पहले से ही असंभव साबित हुआ है - यह हमलावरों को पहले स्थान पर रखना है।

यह सुझाव दिया गया है कि खुले बंदरगाहों के अलावा अन्य सुरक्षा विचार भी हैं - लेकिन मेरे लिए यह सिर्फ किसी के विश्वास की रक्षा करने जैसा लगता है। किसी भी ऑपरेटिंग सिस्टम / टीसीपी स्टैक भेद्यताएं समान रूप से कमजोर होनी चाहिए कि फ़ायरवॉल मौजूद है या नहीं - इस तथ्य के आधार पर कि पोर्ट को सीधे उस ऑपरेटिंग सिस्टम / टीसीपी स्टैक पर अग्रेषित किया जा रहा है। इसी प्रकार, सर्वर पर अपने फ़ायरवॉल को चलाने के विपरीत राउटर (या बदतर, दोनों जगहों पर) होने के विपरीत जटिलता की अनावश्यक परतें जोड़ रही हैं। मैं दर्शन को समझता हूं "सुरक्षा परतों में आती है", लेकिन वहां एक बिंदु आता है जहां यह एक दूसरे के ऊपर प्लाईवुड की परतों की एक्स संख्या को ढेर करके छत बनाने की तरह है और फिर उन सभी के माध्यम से एक छेद ड्रिल कर रहा है। प्लाईवुड की एक और परत उस छेद के माध्यम से लीक को रोकने के लिए नहीं जा रही है जिसे आप उद्देश्य पर बना रहे हैं।

ईमानदार होने के लिए, सर्वरों के लिए फ़ायरवॉल का कोई भी तरीका होने का एकमात्र तरीका यह है कि यदि इसमें ज्ञात हमलावरों से सभी सर्वरों के सभी कनेक्शनों को रोकने के गतिशील नियम हैं - जैसे स्पैम के लिए आरबीएल (जो संयोग से, हमारे मेल सर्वर द्वारा बहुत अधिक है) । दुर्भाग्य से, मुझे ऐसा कोई फ़ायरवॉल नहीं मिल रहा है जो ऐसा करता है। अगली सबसे अच्छी बात एक आईडीएस सर्वर है, लेकिन यह मानता है कि हमलावर पहले आपके असली सर्वर पर हमला नहीं करता है, और हमलावर आपके पूरे नेटवर्क की जांच करने के लिए परेशान हैं से पहले हमला। इसके अलावा, इन्हें झूठी सकारात्मक संख्याओं के उत्पादन के लिए जाना जाता है।


101
2017-11-12 21:11


मूल


और इसलिए आपके सर्वर के बीच गुजरने वाले सभी ट्रैफिक एन्क्रिप्ट किए गए हैं? - GregD
इसे प्यार करना। स्थानीय फ़ायरवॉल नियम लगभग हमेशा वूडू-केवल होते हैं। - unixtippse
क्या आपके पास अपने नेटवर्क में डेस्कटॉप / कर्मचारी भी हैं? आप उन लोगों के साथ क्या करेंगे? - Brandon
यह सवाल इसके लिए उपयुक्त होगा security.stackexchange.com - Olivier Lalonde
@routeNpingme: ऐसा लगता है कि मैंने अपनी मूल पोस्ट में उस tidbit को शामिल नहीं किया था। हमारे सभी सर्वरों को जनता के लिए खुला होना चाहिए, और समर्पित डेटासेंटर में रहना होगा। यदि आपका कार्यालय आपका डेटासेंटर है, तो मुझे लगता है कि आपके सर्वर नेटवर्क और आपके कार्यालय नेटवर्क के बीच फ़ायरवॉल होना आवश्यक होगा। इस मामले में, मैं सर्वर नेटवर्क के बारे में बात कर रहा हूं - फ़ायरवॉल क्यों कुछ है जो पूरी सार्वजनिक पहुंच है? - Ernie


जवाब:


फ़ायरवॉल के फायदे:

  1. आप आउटबाउंड यातायात फ़िल्टर कर सकते हैं।
  2. परत 7 फ़ायरवॉल (आईपीएस) ज्ञात अनुप्रयोग भेद्यता के खिलाफ रक्षा कर सकते हैं।
  3. आप यह सुनिश्चित करने की कोशिश करने के बजाय एक निश्चित आईपी एड्रेस रेंज और / या पोर्ट को केंद्रीय रूप से अवरुद्ध कर सकते हैं कि प्रत्येक बंदरगाह पर उस बंदरगाह पर कोई सेवा सुनने या उपयोग से इनकार करने से कोई सेवा न हो टीसीपी लपेटें
  4. फ़ायरवॉल मदद कर सकता है अगर आपको कम सुरक्षा जागरूक उपयोगकर्ताओं / प्रशासकों से निपटना है क्योंकि वे रक्षा की दूसरी पंक्ति प्रदान करेंगे। उनके बिना किसी को पूरी तरह से यह सुनिश्चित करना होगा कि मेजबान सुरक्षित हैं, जिसके लिए सभी प्रशासकों से अच्छी सुरक्षा समझ की आवश्यकता है।
  5. फ़ायरवॉल लॉग केंद्रीय लॉग प्रदान करेंगे और लंबवत स्कैन का पता लगाने में मदद करेंगे। फ़ायरवॉल लॉग यह निर्धारित करने में सहायता कर सकते हैं कि कुछ उपयोगकर्ता / क्लाइंट समय-समय पर आपके सभी सर्वरों के उसी पोर्ट से कनेक्ट करने का प्रयास कर रहा है या नहीं। फ़ायरवॉल के बिना ऐसा करने के लिए किसी को केंद्रीकृत दृश्य प्राप्त करने के लिए विभिन्न सर्वर / होस्ट से लॉग जोड़ना होगा।
  6. फ़ायरवॉल एंटी-स्पैम / एंटी-वायरस मॉड्यूल के साथ भी आते हैं जो सुरक्षा में भी शामिल होते हैं।
  7. ओएस स्वतंत्र सुरक्षा। मेजबान ओएस के आधार पर, होस्ट को सुरक्षित बनाने के लिए विभिन्न तकनीकों / विधियों की आवश्यकता होती है। उदाहरण के लिए, विंडोज मशीनों पर टीसीपी रैपर उपलब्ध नहीं हो सकते हैं।

अगर आपके पास फ़ायरवॉल नहीं है और सिस्टम से समझौता किया गया है तो सब से ऊपर तो आप इसका पता कैसे लगाएंगे? स्थानीय सिस्टम पर कुछ कमांड 'ps', 'netstat' आदि चलाने की कोशिश कर विश्वसनीय नहीं किया जा सकता क्योंकि उन बाइनरी को प्रतिस्थापित किया जा सकता है। रिमोट सिस्टम से 'एनएमएपी' गारंटीकृत सुरक्षा नहीं है क्योंकि हमलावर यह सुनिश्चित कर सकता है कि रूट-किट चयनित समय पर केवल चयनित स्रोत आईपी पते (एसएस) से कनेक्शन स्वीकार करता है।

हार्डवेयर फ़ायरवॉल ऐसे परिदृश्यों में मदद करते हैं क्योंकि होस्ट ओएस / फाइलों की तुलना में फ़ायरवॉल ओएस / फाइलों को बदलना बेहद मुश्किल है।

फ़ायरवॉल के नुकसान:

  1. लोग महसूस करते हैं कि फ़ायरवॉल सुरक्षा का ख्याल रखेगा और नियमित रूप से सिस्टम अपडेट नहीं करेगा और अवांछित सेवाओं को रोक देगा।
  2. उनकी कीमत। कभी-कभी वार्षिक लाइसेंस शुल्क का भुगतान किया जाना चाहिए। विशेष रूप से अगर फ़ायरवॉल में एंटी-वायरस और एंटी-स्पैम मॉड्यूल हैं।
  3. विफलता के अतिरिक्त एकल बिंदु। यदि सभी ट्रैफिक फ़ायरवॉल से गुजरता है और फ़ायरवॉल विफल रहता है तो नेटवर्क रुक जाएगा। हमारे पास अनावश्यक फ़ायरवॉल हो सकते हैं, लेकिन फिर लागत पर पिछली बिंदु आगे बढ़ जाती है।
  4. राज्यव्यापी ट्रैकिंग सार्वजनिक-सामना करने वाली प्रणालियों पर कोई मूल्य नहीं देती है जो सभी आने वाले कनेक्शन स्वीकार करते हैं।
  5. राज्य के फायरवॉल डीडीओएस हमले के दौरान भारी बाधाएं हैं और अक्सर विफल होने वाली पहली बात होती है, क्योंकि वे राज्य को पकड़ने और आने वाले सभी कनेक्शनों का निरीक्षण करने का प्रयास करते हैं।
  6. फायरवॉल एन्क्रिप्टेड यातायात के अंदर नहीं देख सकते हैं। सभी यातायात के बाद से चाहिए अंत तक एन्क्रिप्टेड हो, अधिकांश फ़ायरवॉल सार्वजनिक सर्वर के सामने थोड़ा मूल्य जोड़ते हैं। कुछ अगली पीढ़ी के फ़ायरवॉल को टीएलएस को समाप्त करने और यातायात के अंदर देखने के लिए निजी कुंजी दी जा सकती हैं, हालांकि इससे फायरवॉल की डीडीओएस की संवेदनशीलता बढ़ जाती है, और टीएलएस के अंत-से-अंत सुरक्षा मॉडल को तोड़ दिया जाता है।
  7. ऑपरेटिंग सिस्टम और एप्लिकेशन फायरवॉल की तुलना में कमजोरियों के खिलाफ पैच किए जाते हैं। फ़ायरवॉल विक्रेताओं अक्सर के लिए ज्ञात मुद्दों पर बैठते हैं वर्षों पैचिंग के बिना, और फ़ायरवॉल क्लस्टर को पैच करने के लिए आम तौर पर कई सेवाओं और आउटबाउंड कनेक्शन के लिए डाउनटाइम की आवश्यकता होती है।
  8. फायरवॉल सही से बहुत दूर हैं, और कई कुख्यात रूप से छोटी हैं। फ़ायरवॉल सिर्फ ऑपरेटिंग सिस्टम के कुछ रूपों पर चल रहे सॉफ़्टवेयर हैं, शायद एक अतिरिक्त एएसआईसी या एफपीजीए के साथ (आमतौर पर धीमी) सीपीयू के अतिरिक्त। फ़ायरवॉल में बग हैं, लेकिन वे उन्हें संबोधित करने के लिए कुछ टूल प्रदान करते हैं। इसलिए फ़ायरवॉल जटिलता और एप्लिकेशन स्टैक में हार्ड-टू-निदान त्रुटियों का एक अतिरिक्त स्रोत जोड़ते हैं।

52
2017-11-13 02:36



Above all this if you do not have firewall and system is compromised then how would you detect it? घुसपैठ का पता लगाना फ़ायरवॉल का काम नहीं है। वह नौकरी एचआईडीएस (होस्ट-आधारित घुसपैठ का पता लगाने प्रणाली) द्वारा अधिक उचित ढंग से संभाली जाती है, जो फ़ायरवॉल से स्वतंत्र है। - Steven Monday
Syslog सर्वर आइटम 5 की आवश्यकता को खत्म कर देता है। यदि कुछ भी हो, तो फ़ायरवॉल लॉग को सिसोलॉग सर्वर पर भेजना सबसे अच्छा होता है, अगर कोई हमलावर फ़ायरवॉल से समझौता करने और उसके लॉग को हटाने का प्रबंधन करता है। फिर हमलावर को लॉग को हटाने के लिए दो सिस्टम समझौता करना पड़ता है, और वे इसके लिए तैयार नहीं हो सकते हैं (विशेष रूप से स्वचालित हमलों के साथ)। इसी प्रकार, यदि आपके सभी सिस्टमों में केंद्रीकृत लॉगिंग है, तो आपको फ़ायरवॉल लॉग प्रदान करने से हमले के बारे में बेहतर जानकारी मिल सकती है। - Ernie
मेरा मुद्दा तब से था जब एचआईडीएस मेजबान पर रहता है, हम इसके आउटपुट पर भरोसा नहीं कर सकते हैं। उदाहरण के लिए यदि हम होस्ट आधारित आईडीएस के रूप में क्रिप्टोग्राफिक रूप से सुरक्षित 'ट्रिपवायर' का उपयोग करते हैं, तो हमलावर हमेशा समझौता किए गए संस्करणों के साथ सभी ट्रिपवायर बाइनरी (ट्विडमिन, ट्रिपवायर, ट्विप्रिंट इत्यादि) को प्रतिस्थापित कर सकता है जो कभी घुसपैठ की रिपोर्ट नहीं करेगा। यहां तक ​​कि यदि हम अन्य सिस्टम से पुस्तकालयों / द्विआधारीयों की प्रतिलिपि बनाने का प्रयास करते हैं, तो ऐसी प्रक्रिया हो सकती है जो इन समझौता किए गए बाइनरी पर नज़र रखता है और फिर उन्हें बदले या अपडेट किए जाने पर दूषित संस्करण से बदल देता है। मेजबान से स्वतंत्र फ़ायरवॉल, इस तरह के परिदृश्यों पर भरोसा किया जा सकता है। - Saurabh Barjatiya
यह उत्तर अधिक लोकप्रिय एक पर स्वीकार किया गया था क्योंकि यह फ़ायरवॉल का उपयोग करने के कारणों का बेहतर और अधिक व्यापक सेट प्रदान करता है। और नहीं, उस मामले के लिए। - Ernie
राज्यव्यापी पैकेट निरीक्षण फ़ायरवॉल सर्वर के सामने नहीं है। वे डीडीओएस हमलों में एक बड़ी देयता हैं, और आमतौर पर हमले के तहत असफल होने वाली पहली बात है। - rmalayter


टीसीपी रैपर को तर्कसंगत रूप से होस्ट-आधारित फ़ायरवॉल कार्यान्वयन कहा जा सकता है; आप नेटवर्क यातायात फ़िल्टर कर रहे हैं।

एक मनमानी बंदरगाह पर आउटबाउंड कनेक्शन बनाने वाले हमलावर के बिंदु के लिए, फ़ायरवॉल आउटगोइंग यातायात को नियंत्रित करने का साधन भी प्रदान करेगा; एक उचित रूप से कॉन्फ़िगर किया गया फ़ायरवॉल उस तरीके से प्रवेश और बहिष्कार का प्रबंधन करता है जो सिस्टम से संबंधित जोखिम के लिए उपयुक्त है।

फ़ायरवॉल द्वारा किसी भी टीसीपी भेद्यता को कम नहीं किया जाता है, इस बारे में इस बिंदु पर, आप फ़ायरवॉल कैसे काम करते हैं उससे परिचित नहीं हैं। सिस्को के पास डाउनलोड के लिए नियमों का एक पूरा समूह उपलब्ध है जो ऐसे पैकेटों की पहचान करता है जो विशेष ऑपरेटिंग सिस्टम की समस्याओं का कारण बनते हैं। यदि आप स्नॉर्ट लेते हैं और इसे सही नियम सेट के साथ चलाना शुरू करते हैं, तो आप इस तरह की चीज़ पर भी सतर्क रहेंगे। और निश्चित रूप से, लिनक्स iptables दुर्भावनापूर्ण पैकेट को फ़िल्टर कर सकते हैं।

असल में, फ़ायरवॉल सक्रिय सुरक्षा है। जितना दूर आप सक्रिय होने से दूर हो जाते हैं, सबसे अधिक संभावना है कि आप खुद को ऐसे परिस्थिति में पाएंगे जहां आप समस्या को रोकने के बजाय किसी समस्या पर प्रतिक्रिया कर रहे हैं। सीमा पर अपनी सुरक्षा को ध्यान में रखते हुए, एक समर्पित फ़ायरवॉल के साथ, चीज़ों को प्रबंधित करना आसान बनाता है क्योंकि आपके पास हर जगह नियमों को डुप्लिकेट करने के बजाय केंद्रीय चोक पॉइंट होता है।

लेकिन कोई भी चीज जरूरी नहीं है कि अंतिम समाधान हो। एक अच्छा सुरक्षा समाधान आम तौर पर बहु-परत होता है, जहां आपके पास सीमा पर फ़ायरवॉल होता है, डिवाइस पर टीसीपी रैपर होता है, और शायद आंतरिक राउटर पर कुछ नियम भी होते हैं। आपको आमतौर पर इंटरनेट से नेटवर्क की रक्षा करनी चाहिए, और एक दूसरे से नोड्स की रक्षा करना चाहिए। यह बहु-परत दृष्टिकोण प्लाईवुड की कई चादरों के माध्यम से एक छेद ड्रिल करने जैसा नहीं है, यह दरवाजे की एक जोड़ी डालने की तरह है, इसलिए घुसपैठ करने वाले के पास केवल एक के बजाय दो ताले तोड़ने होते हैं; इसे शारीरिक सुरक्षा में एक आदमी जाल कहा जाता है, और अधिकांश भवनों में एक कारण होता है। :)


33
2017-11-12 22:04



अगर वे इमारत के अंदर घुसपैठ करते हैं और अपने दोस्त के बाहर के अंदरूनी दरवाजा खोलते हैं, तो उन्हें बाहरी दरवाजा खोलना और खोलना होगा। (यानी बाहरी फ़ायरवॉल के बिना, जो कोई भी आपके सर्वर में आता है उसे सही खोल सकता है, जबकि बाहरी फ़ायरवॉल अभी भी खुले बंदरगाहों को बाहर से अवरुद्ध कर देगा) - Ricket
@ रिकेट: शायद वे कर सकते थे, लेकिन आधुनिक हमलावर इस तरह की चीजों से परेशान नहीं हैं। एक ज़ोम्बी फार्म में अपने सर्वर को जोड़ने से कहीं ज्यादा कुछ करने के लिए आपकी साइट पर हमलावर के लिए विशेष रुचि होनी चाहिए। - Ernie
@ एर्नी - नहीं, इसे केवल वेयरज़, ग्राहक डेटाबेस, वित्तीय जानकारी, पासवर्ड, और एक बॉटनेट में जोड़ा जा रहा है, के लिए नि: शुल्क स्थान के लिए स्वचालित रूप से जांच की आवश्यकता है - लेकिन यह भी काफी खराब हो सकता है - कुछ व्यवस्थापक खुशी से आपके आईपी को ब्लैकहोल करेंगे अगर ऐसा लगता है कि आप ज़ोंबी होस्ट करते हैं। - Rory Alsop
TCP Wrappers could be arguably called a host-based firewall implementation एक महान जवाब के लिए +1। - sjas


(आप पढ़ना चाह सकते हैं "फायरवॉल के बिना जीवन")

अब: एक विरासत प्रणाली के बारे में क्या जिसके लिए अब कोई पैच प्रकाशित नहीं हुआ है? एन-मशीनों को पैच को लागू करने में सक्षम होने के बारे में क्या नहीं है, जबकि एक ही समय में आप उन्हें नेटवर्क (फ़ायरवॉल) में कम नोड्स में लागू कर सकते हैं?

फ़ायरवॉल के अस्तित्व या आवश्यकता पर बहस करने में कोई बात नहीं है। वास्तव में क्या मायने रखता है कि आपको सुरक्षा नीति को लागू करना है। ऐसा करने के लिए आप इसका उपयोग करेंगे जो भी उपकरण इसे लागू करेंगे और इसे प्रबंधित, विस्तार और विकसित करने में आपकी सहायता करेंगे। अगर ऐसा करने के लिए फ़ायरवॉल की आवश्यकता है, तो यह ठीक है। अगर उन्हें जरूरत नहीं है तो यह भी ठीक है। आपकी सुरक्षा नीति के कामकाजी और सत्यापन योग्य कार्यान्वयन में वास्तव में क्या मायने रखता है।


15
2017-11-12 21:31



हे। मैं फ़ायरवॉल के बिना पिछले 8 वर्षों से हमारे सर्वर नेटवर्क चला रहा हूं। मेरे पास हो सकता है लिखा हुआ "फायरवॉल के बिना जीवन", लेकिन उन्होंने एक बेहतर काम किया और वैसे भी, मेरे मुकाबले बड़े नेटवर्क का रास्ता चलाया। - Ernie
@ एर्नी - मुझे लगता है कि आप अभी भाग्यशाली हो सकते हैं। आप कैसे जानते हैं कि आपसे समझौता नहीं किया गया है? मेरे कई ग्राहकों पर फोरेंसिक जांच के नतीजे समझौते की खोज कर चुके हैं, कभी-कभी पिछले महीने डेटिंग करते हैं, जबकि हमलावरों को व्यक्तिगत और वित्तीय जानकारी, ग्राहक विवरण, बौद्धिक संपदा, व्यापार योजनाएं आदि मिलती हैं। जैसा कि शॉन ने कहा - उचित सुरक्षा लेखा परीक्षा प्राप्त करें। - Rory Alsop
असल में, इस तथ्य से अलग कि हमारा सर्वर नेटवर्क हमारे कार्यालय नेटवर्क से भौतिक रूप से अलग है (और इस प्रकार, हर सर्वर पर रूट पहुंच के साथ भी, वास्तव में कोई संवेदनशील डेटा इसे प्राप्त नहीं किया जा सकता है), मैं हर एक समझौता को खोजने में सक्षम हूं जब से मैंने यहां शुरू किया था तब से मैंने कभी भी ऐसा किया है। मैं शुरू होने पर मौजूद डरावनी शो के बारे में सोच सकता था, लेकिन मेरे पास पर्याप्त जगह नहीं है। :) कहने के लिए पर्याप्त है कि अधिकतर हमले सूक्ष्म नहीं होते हैं, और सूक्ष्म भी खोजे जा सकते हैं। ओह हाँ, और उपयोगकर्ता विशेषाधिकार अलगाव आपका मित्र है। - Ernie


आपकी अधिकांश स्पष्टीकरण फ़ायरवॉल की आवश्यकता को खारिज करने लगती हैं, लेकिन मुझे एक सेट करने के लिए थोड़ी सी अवधि के अलावा, एक होने के लिए एक कॉन नहीं दिखाई देता है।

शब्द के सख्त अर्थ में कुछ चीजें एक "आवश्यकता" हैं। सुरक्षा आपके द्वारा किए जा सकने वाले सभी अवरोधों को स्थापित करने के बारे में अधिक है। आपके सर्वर में तोड़ने के लिए आवश्यक अधिक काम का मतलब है सफल हमले का कम मौका। आप कहीं और की तुलना में अपनी मशीनों में तोड़ने के लिए इसे और अधिक काम करना चाहते हैं। फ़ायरवॉल जोड़ना और काम करता है।

मुझे लगता है कि सुरक्षा में एक महत्वपूर्ण उपयोग अनावश्यकता है। फ़ायरवॉल का एक और प्लस यह है कि आप अस्वीकार अनुरोधों के जवाब देने के बजाए किसी भी बंदरगाह से कनेक्ट करने के प्रयासों को छोड़ सकते हैं - इससे हमलावर के लिए थोड़ा और असुविधाजनक हो जाएगा।

आपके प्रश्न के व्यावहारिक नोट पर मेरे लिए सबसे महत्वपूर्ण यह है कि आप स्थानीय सबनेट्स के साथ एसएसएच, आईसीएमपी, और अन्य आंतरिक सेवाओं को लॉक कर सकते हैं और साथ ही डीओएस हमलों को कम करने में मदद के लिए आने वाली कनेक्शनों की दर सीमित कर सकते हैं।

"सुरक्षा का मुद्दा सफल हमले के बाद खुद को बचाने के लिए नहीं है - यह पहले से ही असंभव साबित हुआ है - यह हमलावरों को पहले स्थान पर रखना है।"

मैं असहमत हूं। सीमित नुकसान उतना ही महत्वपूर्ण हो सकता है। (इस आदर्श के तहत हैश पासवर्ड क्यों हैं? या अपने वेब अनुप्रयोगों की तुलना में एक अलग सर्वर पर अपने डेटाबेस सॉफ़्टवेयर को चिपकाएं?) मुझे लगता है कि पुरानी कहावत "अपने सभी अंडों को एक टोकरी में चिपकाएं" यहां लागू है।


9
2017-11-12 21:30



खैर, तुम सही हो, मैंने वहां कोई विपक्ष नहीं लगाया। विपक्ष: नेटवर्क जटिलता में वृद्धि, विफलता का एक बिंदु, एकल नेटवर्क इंटरफेस जिसके माध्यम से बैंडविड्थ बाधित है। इसी तरह, एक फ़ायरवॉल पर बनाई गई प्रशासनिक गलतियों से आपके पूरे नेटवर्क को मार दिया जा सकता है। और देवताओं ने मना किया है कि जब आप सर्वर के कमरे में 20 मिनट की यात्रा करते हैं तो आप इसे अपने आप से बाहर कर देते हैं। - Ernie
यह पूरी तरह से अशिष्ट हो सकता है, लेकिन जब आप कहते हैं, "सुरक्षा आपके द्वारा किए जा सकने वाले सभी अवरोधों को स्थापित करने के बारे में अधिक है", मैं सुनना पसंद करूंगा "सुरक्षा डिफ़ॉल्ट रूप से सबकुछ अवरुद्ध करने के बारे में अधिक है, और सावधानीपूर्वक संचालन करने के लिए सख्त न्यूनतम खोलना"। - MatthieuP
+1 एक व्यापक सुरक्षा योजना में रोकथाम, पहचान और प्रतिक्रिया शामिल है। - Jim OHalloran


Should I firewall my server? अच्छा प्रश्न। ऐसा लगता है कि नेटवर्क स्टैक के शीर्ष पर फ़ायरवॉल को थप्पड़ मारने के लिए बहुत कम बिंदु है जो कानूनी रूप से खुले बंदरगाहों के मुकाबले सभी के लिए कनेक्शन प्रयासों को पहले ही अस्वीकार कर देता है। यदि ओएस में भेद्यता है जो दुर्भावनापूर्ण रूप से तैयार किए गए पैकेट को मेजबान को बाधित / शोषण करने की अनुमति देती है, तो फ़ायरवॉल उसी मेजबान पर चल रहा है शोषण को रोकें? कुंआ, शायद ...

और शायद यह प्रत्येक होस्ट पर फ़ायरवॉल चलाने का सबसे मजबूत कारण है: फ़ायरवॉल पराक्रम नेटवर्क स्टैक भेद्यता का शोषण होने से रोकें। क्या यह एक मजबूत पर्याप्त कारण है? मुझे नहीं पता, लेकिन मुझे लगता है कि कोई कह सकता है, "कोई भी फ़ायरवॉल स्थापित करने के लिए कभी नहीं निकाल दिया गया।"

सर्वर पर फ़ायरवॉल चलाने का एक अन्य कारण इन दो अन्यथा दृढ़ता से संबंधित चिंताओं को कम करना है:

  1. कहां से, और किस बंदरगाह से, क्या मैं कनेक्शन स्वीकार करता हूं?
  2. कौन सी सेवाएं चल रही हैं और कनेक्शन सुन रही हैं?

फ़ायरवॉल के बिना, चलने वाली सेवाओं का सेट (टीसीपीवापर और कॉन्फ़िगरेशन के साथ कॉन्फ़िगरेशन के साथ) पूरी तरह से बंदरगाहों के सेट को निर्धारित करता है जो सर्वर खुल जाएगा, और जिनसे कनेक्शन स्वीकार किए जाएंगे। एक होस्ट-आधारित फ़ायरवॉल व्यवस्थापक को अधिक व्यापक रूप से उपलब्ध कराने से पहले नियंत्रित तरीके से नई सेवाओं को स्थापित करने और परीक्षण करने के लिए अतिरिक्त लचीलापन देता है। यदि ऐसी लचीलापन की आवश्यकता नहीं है, तो सर्वर पर फ़ायरवॉल स्थापित करने के लिए कम कारण नहीं है।

एक अंतिम नोट पर, आपकी सुरक्षा चेकलिस्ट में एक आइटम का उल्लेख नहीं किया गया है जिसे मैं हमेशा जोड़ता हूं, और यह एक होस्ट-आधारित घुसपैठ का पता लगाने प्रणाली (एचआईडीएस) है, जैसे कि सहयोगी या Samhain। एक अच्छा छिपा एक घुसपैठिया के लिए सिस्टम में अवांछित परिवर्तन करने के लिए बेहद मुश्किल बनाता है और ज्ञात रहता है। मेरा मानना ​​है कि सभी सर्वरों को कुछ प्रकार के छिपाए जाने चाहिए।


8
2017-11-12 23:10



एचआईडीएस सिस्टम के उल्लेख के लिए +1। - Sam Halicke
छुपाएं बहुत अच्छे हैं - यदि आप इसे सेट करना चाहते हैं और इसे भूलना चाहते हैं। और खातों को कभी भी जोड़ें या हटाएं। अन्यथा एचआईडीएस लॉग का विशाल बहुमत आज आपने जो किया है उसकी लंबी सूचियां होने जा रहे हैं, और हर समय इसे अनदेखा कर दिया जाएगा। - Ernie
कोई दर्द नहीं, कोई लाभ नहीं, जैसा कि वे कहते हैं। कई बदलावों वाले सर्वरों पर, अपेक्षित शोर को फ़िल्टर करना संभव है, जिससे आप अप्रत्याशित पर ध्यान केंद्रित कर सकते हैं। - Steven Monday


फ़ायरवॉल एक उपकरण है। यह चीजों को अपने आप में सुरक्षित नहीं बनाता है, लेकिन यह एक सुरक्षित नेटवर्क में एक परत के रूप में योगदान कर सकता है। इसका मतलब यह नहीं है कि आपको एक की जरूरत है, और मैं निश्चित रूप से उन लोगों के बारे में चिंता करता हूं जो समझते हैं कि "मुझे फ़ायरवॉल प्राप्त करना है" बिना समझने के वे क्यों सोचते हैं और फ़ायरवॉल की ताकत और कमजोरियों को समझ में नहीं आता है।

ऐसे कई टूल हैं जो हम कह सकते हैं कि हमें इसकी आवश्यकता नहीं है ... क्या एंटीवायरस के बिना विंडोज कंप्यूटर चलाने के लिए संभव है? हां यह है ... लेकिन यह बीमा रखने की एक अच्छी परत है।

मैं फ़ायरवॉल के बारे में वही कहूंगा - जो भी आप उनके बारे में कह सकते हैं, वे बीमा का एक अच्छा स्तर हैं। वे पैचिंग के लिए विकल्प नहीं हैं, मशीनों को लॉक करने के लिए, उन सेवाओं को अक्षम करने के लिए जिन्हें आप उपयोग नहीं करते हैं, लॉगिंग के लिए, आदि ... लेकिन वे एक उपयोगी पूरक हो सकते हैं।

मैं यह भी सुझाव दूंगा कि समीकरण कुछ हद तक बदलता है कि आप सावधानी से जुड़े सर्वरों के समूह के सामने फ़ायरवॉल रखने के बारे में बात कर रहे हैं या नहीं, जैसा कि आप प्रतीत होता है, या वर्कस्टेशन और सर्वर के मिश्रण के साथ एक सामान्य लैन , जिनमें से कुछ आईटी टीम के सर्वोत्तम प्रयासों और शुभकामनाओं के बावजूद कुछ सुंदर बालों वाली चीजें चला रहे हैं।

विचार करने के लिए एक और बात स्पष्ट रूप से कठोर लक्ष्य बनाने का लाभ है। दृश्यमान सुरक्षा, भले ही यह उज्ज्वल रोशनी, भारी ताले और इमारत पर एक स्पष्ट अलार्म बॉक्स है; या एक व्यापार 'आईपी पते की एक श्रृंखला पर एक स्पष्ट फ़ायरवॉल आकस्मिक घुसपैठिया को रोक सकता है - वे आसान शिकार की तलाश में जायेंगे। यह निर्धारित घुसपैठियों को रोक नहीं पाएगा जो जानता है कि आपके पास वह जानकारी है जो वे चाहते हैं और इसे प्राप्त करने के लिए दृढ़ हैं, लेकिन आकस्मिक घुसपैठियों को अलग करना अभी भी सार्थक है - खासकर यदि आप जानते हैं कि कोई घुसपैठ करने वाला व्यक्ति जिनकी जांच निवारक आवश्यकताओं से पहले बनी रहती है, विशेष रूप से गंभीरता से ।


6
2017-11-12 22:25



इस प्रकार मैंने "ऑफिस नेटवर्क" के बजाय "सर्वर" कहा था? :) हमारे मामले में, विशेष रूप से, डेटासेंटर और कार्यालय दो शारीरिक रूप से अलग संस्थाएं हैं। - Ernie
मैं समझता हूं कि एर्नी, लेकिन यह एक बिंदु है जो रेखांकित करने योग्य है ... इसलिए मैंने किया। - Rob Moir


सभी महान प्रश्न। लेकिन - मुझे आश्चर्य है कि तालिका में प्रदर्शन लाया नहीं गया है।

अत्यधिक (सीपीयू-वार) इस्तेमाल किए गए वेब फ्रंट सिरों के लिए, स्थानीय फ़ायरवॉल वास्तव में प्रदर्शन, अवधि को कम कर देता है। लोड परीक्षण आज़माएं और देखें। मैंने इस बार कई बार देखा। फ़ायरवॉल को बंद करने से 70% या उससे अधिक तक प्रदर्शन (प्रति-अनुरोध अनुरोध) बढ़ गया।

इस व्यापार-बंद पर विचार किया जाना चाहिए।


5
2017-11-13 22:28



यह फ़ायरवॉल नियमों पर बहुत निर्भर करता है। फ़ायरवॉल नियम अनुक्रमिक रूप से प्रत्येक पैकेट पर चल रहे हैं, इसलिए आप सैकड़ों नियम नहीं देखना चाहते हैं जिन्हें देखना होगा। पिछली शीतकालीन जब हमने एक ऐसी साइट पर काम किया जिस पर सुपरबॉइल पर विज्ञापन था, उदाहरण के लिए फ़ायरवॉल नियम कोई समस्या नहीं थी। लेकिन मैं सहमत हूं कि आपको फ़ायरवॉल नियमों के प्रदर्शन प्रभाव को समझने की आवश्यकता है। - Sean Reifschneider


फ़ायरवॉल अतिरिक्त सुरक्षा है। नेटवर्क स्टैक हमलों (यानी आपके सर्वर ओएस के पास विशेष रूप से तैयार किए गए पैकेट्स पर एक भेद्यता है जो बंदरगाहों के स्तर तक नहीं पहुंचती) के खिलाफ तीन विशेष परिदृश्य हैं, एक सफल घुसपैठ "फोन घर" (या स्पैम भेजना, या जो भी हो) ), या एक पोर्ट बंदरगाह खोलने से पहले एक बंदरगाह दस्तक अनुक्रम के लिए एक पोर्ट बंदरगाह खोलने, या कम पता लगाने योग्य एक सफल घुसपैठ। माना जाता है कि पिछले दो को इसे रोकने के बजाय घुसपैठ के नुकसान को कम करने के साथ करना है, लेकिन इसका मतलब यह नहीं है कि यह बेकार है। याद रखें कि सुरक्षा एक सब कुछ या कुछ भी प्रस्ताव नहीं है; आपकी जरूरतों के लिए पर्याप्त सुरक्षा के स्तर को प्राप्त करने के लिए, एक स्तरित दृष्टिकोण, बेल्ट और निलंबन लेता है।


4
2017-11-13 12:37



+1 बिल्कुल, गहराई में रक्षा कुंजी है। - Jim OHalloran
मैं यह देखने में असफल रहा कि मुझे किसी भी प्रभाव से आउटबाउंड ट्रैफिक को अवरुद्ध करने की कोई उम्मीद कैसे हो सकती है, खासकर जब हमारे ग्राहक हमारे कई सर्वरों को इंटरनेट पर यादृच्छिक होस्ट (जैसे स्पैम के मामले में) भेजने के लिए उम्मीद करते हैं। "फोनिंग होम" नेट पर कुछ अन्य यादृच्छिक होस्ट से जुड़ने का मामला है - और मुझे संदेह है कि कुछ आउटबाउंड कनेक्शन को अवरुद्ध करने से कुछ के लिए कुछ भी मदद मिलेगी - यानी, अगर आप करना चाहते हैं कुछ भी इंटरनेट पर। और केवल कुछ बंदरगाहों को अवरुद्ध करना रेगिस्तान के बीच में एक टोल बूथ स्थापित करने जैसा है। - Ernie


मैं किसी भी माध्यम से कोई सुरक्षा विशेषज्ञ नहीं हूं, लेकिन ऐसा लगता है जैसे आप फ़ायरवॉल हैं। ऐसा लगता है कि आपने फ़ायरवॉल की कुछ मूल कार्यक्षमता ली है और इसे अपनी नीतियों और प्रक्रियाओं का हिस्सा बना दिया है। नहीं, अगर आप फ़ायरवॉल के रूप में एक ही काम करने जा रहे हैं तो आपको फ़ायरवॉल की आवश्यकता नहीं है। मेरे लिए, मैं सुरक्षा को बनाए रखने के लिए सबसे अच्छा कर सकता हूं, लेकिन मेरे कंधे पर एक फ़ायरवॉल देख रहा हूं, लेकिन किसी बिंदु पर जब आप फ़ायरवॉल कर रहे हैं सब कुछ कर सकते हैं, तो यह अप्रासंगिक हो जाता है।


3
2017-11-13 10:47